IEのステータスバーにURL詐称の問題

Internet Explorerのステータスバーの内容が偽装される脆弱性が指摘されている。

» 2004年11月03日 09時47分 公開
[ITmedia]

 Internet Explorerの下部にあり、今アクセスしているURLを示すはずのステータスバーの内容が偽装される脆弱性が指摘されている。

 この脆弱性は、HTML中にちょっと細工を施したTABLEタグを組み込むことによって、リンク先を示すステータスバーのURL表示を偽装させるというもの。ユーザーがアクセスするつもりのWebサイトとは別のサイトに誘導され、フィッシング詐欺などを仕掛けられる恐れがある。

 メーリングリストへの投稿によれば、Windows XP Service Pack 1とInternet Explorer 6およびOutlook Expressの組み合わせで、この脆弱性が確認されたという。

 IEについては過去にも、ステータスバーやアドレスバーの内容が詐称される恐れのある脆弱性が指摘されてきた(関連記事)。その解決策として「他のWebブラウザを用いる」「不審なWebサイトにアクセスしない」といった事柄と並んで「JavaScriptやActiveScriptを無効にする」ことが挙げられてきた。しかし、現在指摘されている偽装方法はスクリプト機能を用いるものではないため、この対策は意味をなさない。

 また、最初の指摘に続いて別の方法でステータスバーを偽装する手法も投稿された。未確認だが、この手法ならばWindows XP SP2を適用していても偽装が可能という。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ